Membership Inference Attack (Üyelik Çıkarım Saldırısı)
Üyelik Çıkarım Saldırısı (Membership Inference Attack), bir saldırganın belirli bir veri noktasının makine öğrenimi modelinin eğitim kümesine dahil edilip edilmediğini tahmin etmeye çalıştığı gizlilik saldırısı türüdür. Bu saldırı yöntemi, ilk kez 2017 yılında Shokri ve arkadaşları tarafından IEEE Güvenlik ve Gizlilik sempozyumunda kapsamlı biçimde incelenmiş ve makine öğrenimi gizlilik araştırmalarının temel taşlarından biri haline gelmiştir.
Saldırının temel çalışma prensibi, eğitim kümesine ait örneklerin modelin çıktılarında görülmemiş örneklerden farklı davranış sergilemesine dayanır. Aşırı öğrenme (overfitting) eğilimindeki modeller, eğitimde gördükleri verilere karşı çok daha yüksek güven skorları üretirken görmedikleri verilere karşı daha düşük ve dağınık olasılıklar verir. Saldırgan bu davranış farkını kullanarak bir 'gölge model' (shadow model) eğitir; bu model, hedef modeli taklit edecek şekilde halka açık verilerle oluşturulur ve ardından eğitim/test verilerini ayırt eden ikili bir sınıflandırıcı (üye/üye değil) eğitilir.
Saldırının başarı oranı, hedef modelin aşırı öğrenme derecesiyle doğru orantılıdır. İyi düzenleştirilmiş (regularized) modellerde saldırı başarısı rastgele tahminin (%50) üzerine zar zor çıkarken, aşırı öğrenmiş modellerde %90'a ulaşabilir.
Üyelik çıkarım saldırıları özellikle hassas kişisel verilerin eğitimde kullanıldığı senaryolarda kritik gizlilik tehditleri oluşturur. Tıbbi kayıtlar, finansal veriler veya kişisel iletişim verileriyle eğitilen modeller saldırıya maruz kaldığında bireysel sağlık bilgileri veya mali geçmiş deşifre olabilir. GDPR ve Türkiye'nin KVKK düzenlemeleri kapsamında bu tür gizlilik ihlalleri ciddi yasal yaptırımlarla sonuçlanabilir.
Savunma yöntemleri arasında en güçlüsü diferansiyel gizlilik (differential privacy) tekniğidir; bu yöntem, model çıktılarına kontrollü gürültü ekleyerek bireysel veri noktalarını gizler. Bunun yanı sıra erken durdurma, L2 düzenlileştirme, etiket yumuşatma ve bilgi damıtma yöntemleri de model belleğini azaltarak saldırı yüzeyini önemli ölçüde daraltır.
Bu saldırı türü, yapay zeka sistemlerinin uyumluluk denetiminde de önemli bir araç olarak kullanılmaktadır: denetçiler, sistemin eğitim verilerini ne kadar 'hatırladığını' ölçmek için üyelik çıkarım testleri uygulayarak hem model performansını hem de kişisel veri güvenliğini eş zamanlı olarak değerlendirebilir.